L’industrie crypto sabordée: les pirates sont sur le pont!
François Remy|Mis à jour le 26 avril 2024
(Photo: 123RF)
LES CLÉS DE LA CRYPTO est une rubrique qui décode patiemment l’univers de la cryptomonnaie et ses secousses boursières, industrielles et médiatiques. François Remy se donne pour mission d’identifier les entrepreneurs prometteurs, de décoder les progrès techniques et d’anticiper les impacts industriel et sociétal de cette monnaie numérique.
(Illustration: Camille Charbonneau)
En se jetant sur les «ponts», ces protocoles qui relient différentes chaînes de blocs, les pirates informatiques exploitent un nouveau filon lucratif qui déforce la menue confiance accordée globalement à l’écosystème né avec le bitcoin.
Déjà deux milliards! En tenant compte de la dernière cyberattaque d’envergure survenue lundi passé, qui a siphonné la quasi-totalité des fonds circulant via le pont Nomad, les pertes se chiffrent déjà à deux milliards de dollars américains cette année. Plus qu’une tendance, un véritable phénomène, car les piratages ciblant spécifiquement ces protocoles de pontage entre chaînes de blocs représentent 69% des fonds volés en 2022, notent les experts de Chainalysis.
Pour bien cerner l’enjeu, des développeurs ont conçu les ponts pour rendre possible l’interopérabilité entre différentes chaînes de blocs. Un utilisateur peut ainsi transférer ses actifs d’un réseau décentralisé à un autre. Prenons l’exemple de Wormhole, victime d’une attaque en février dernier. Ce pont permettait aux participants des chaînes de bloc Solana et Ethereum de déménager de l’une vers l’autre leurs jetons non fongibles (NFT) ou leurs cryptomonnaies.
Il existe de nombreuses variétés de ponts qui se distinguent par leurs architectures propres. Mais le principe de base reste assez univoque, le protocole de pontage verrouillant les fonds émis en une certaine cryptomonnaie (dans un contrat intelligent [smart contrat] ou un dépositaire centralisé tiers) et produisant des fonds équivalents sous forme de l’actif supporté par la chaîne de blocs destinataire.
Un peu trop monnaie courante
La conception d’un pont sécuritaire reste un défi technique manifestement non résolu à l’heure actuelle. D’innombrables nouveaux modèles continuent pourtant de voir le jour. Évidemment, ces prototypes ou versions essayées «à la volée» constituent des cibles d’attaque de prédilection.
La philosophie informatique par essai-erreur montre ses limites dès que les économies des utilisateurs sont réellement mises en jeu. Les solutions se retrouvent construites en un temps record et mises en activités sans que les équipes de développement mènent des batteries de tests de résistance.
D’avis d’experts en cybersécurité, l’instabilité de ces programmes serait caractéristique des technologies de rupture, les créateurs manipulant et assemblant originalement des techniques classiques pour en tirer des nouvelles fonctionnalités augmentées. De surcroit, ces développeurs travaillent en concurrence avec des arnaqueurs qui s’investissent autant dans les techniques, car les faiblesses décelées offrent un accès direct à d’imposantes récompenses.
D’un point de vue plus positif, cet apprentissage permanent sur le développement de l’écosystème crypto pourrait servir de moteur aux mesures de cybersécurité, voire de catalyseur pour l’émergence de solutions et de services programmés plus efficaces et sûrs.
Incitatif aussi pour l’industrie
À mesure que l’adoption du bitcoin et des autres actifs crypto grandit, soutenue par des clients institutionnels hors norme (le partenariat entre BlackRock et Coinbase en étant l’exemple le plus récent), les acteurs de l’industrie subissent une professionnalisation forcée.
L’industrie du bitcoin subira encore des piratages informatiques, mais ils changeront de nature, d’objectif et, potentiellement, perdront en gravité pour certains pans du marché.
Il y a quelques années seulement, les plateformes centralisées d’échange de cryptomonnaies attiraient de loin les cyberattaques les plus fréquentes dans le milieu. De nos jours, ces piratages sont devenus exceptionnels, car les entreprises ont investi stratégiquement et prioritairement sur la sécurité. Le rapport coût de l’arnaque/bénéfice de la sécurité devrait inspirer plus d’un entrepreneur crypto. Et rassurer aussi plus d’un utilisateur.
